应用服务器安全教学课件

应用服务器安全应用服务器安全技术哈尔滨工程大学概述口WEB技术实现。口FTP服务器的技术实现口WEB,FTP,数据库服务器的攻击方法如何防护WEB和HTTP协议口改变了人们的生活与工作方式的第三个重大通信技术是webweb最吸引用户的也许是它的随选(ondemand)操作性。用一户只在想要时收到所要的东西。这一点不同于广播收音机/电视机。广播收音机/电视机的用户是在其内容供应商播出内容期间被迫收听收视。除了随选操作性,Web还有许多大家喜爱的其他精彩特性。任何个人都可以极其容易地在Web上公布任何信息;任何人都可能以极低的成本成为发行人。超链接和搜索引擎帮助我们在Web站点的海洋中导航。图形和动画刺激着我们的感官。表单、Java小应用程序、Activex控件以及其他F多设备使得我们能与Web页面和站点交互。Web还越来越普遍地提供存放在因特网中的、可随选访问(即点播)的大量音频和视频材料的菜单接口HTTP概貌Wb的型用层协HYP是Wb的心。HTP在Web的客户程序趸麦孾閨郾点增笋是毁篷帮码构以及客户和服务器如何交换这些消息。在详细解释HTTP之前,我们先来回顾一些web中的术语。日Web页面(webpage,也称为文档)由多个对象构成。对象Object)仅仅是可由单个RL寻址的文件,例如HTML文件、JPG图像GIF图像、JAⅤA小应用程序、语音片段等。大多数web页面由单个基本HML文件和若干个所引用的对象构成。例如,如果一个wcb页面包含HTML文本和5个JPEG图像,那么它由6个对象构成即基本HTML文件加5个图像。基本HTML文件使用相应的URL来用本页面的其他对象。每个URL由存放该对象的服务器主机名和该对象的路径名两部分构成。例如,在如下的URL中:yesky/urlpath/picture.qif口yesky是一个主机名,rlpath/picture.qi是一个路径名。刂览器是web的用户代理,它显示所请求的web页面,并提供大量的导航与配置特性。Web浏览器还实现HTTP的客户端。HTTP协议HTTP定义Web客户(即浏览器)如何从web服务器请求Web页面,以及服务器如何把Web页面传送给客户。下图展示了这种请求一响应行为。当用户请求一个Web页面(譬如说点击某个超链接)时,浏览器把请求该页面中各个对象的HTTP请求消息发送给服务器。服务器收到请求后,以运送含有这些对象HTTP响应消息作为响应WEB浏览器HTTP请求三HTTP响WEB服务器HTTP求HP批WEB浏览器HTTP版本口到1997年底,基本上所有的浏览器和Web服务器软件都实现了在RFC1945中定义的HTTP/1.0版本。1998年初,一些Web服务器软件和浏览器软件开始实现在RFC2616中定义的HTTP/1.1版本H1TP/1.1与HTTP/1.0后向兼容;运行1.1版本的Web服务器可以与运行1.0版本的浏览器“对话”,运行1.1版本的浏览器也可以与运行1.0版本的Web服务器“对话”。HTTP技术原理HTP/1.0和HTTP/1.1都把TCP作为底层的传输协议。HTP客户首先发起建立与服务器TCP连接。一旦建立连接,浏览器进程和服务器进程就可以通过各自的套接字来访问TCP。如前所述,客户端套接字是客户进程和TCP连接之间的“门”,服务器端套接字是服务器进程和同一TCP连接之间的“门”。客户往自己的套接字发送HTP请求消息,也从自己的套接字接收HTP响应消息。类似地,服务器从自已的套接字接收HTP请求消息,也往自己的套接字发送HTTP响应消息。客户或服务器一旦把某个消息送入各自的套接字,这个消息就完全落入TCP的控制之中。TCP给HTP提供一个可靠的数据传输服务;这意味着由客户发出的每个HTP请求消息最终将无损地到达服务器,由服务器发出的每个HTP响应消息最终也将无损地到达客户。我们可从中看到分层网终体系结构的一个明显优势—HTTP不必担心数据会丢失,也无需关心TCP如何从数据的丢失和错序中恢复出来的细节。这些是TCP和协议栈中更低协议层的任务HTTP无状态协议需要注意的是,在向客户发送所请求文件的同时,服务器并没有存储关于该客户的任何状态信息。即便某个客名重多HⅣ↓间是2量的博91卫个对象,服务器也不会响应说:自己刚刚给它发送送这个对象,经彻底忘记早先做过什么。既然HTTP服务户的状态信息,我们于是说HTTP是一个无状态的协议(statelessprotoco)非持久连接和持久连接一口HTTP既可以使用非持久连接(n。persistentconnection)也可以使用持久连接(persistentconnection)。HTP/1.0使用非持久连接,HTTP/1.1默认使用持久连接。口非持久连接口让我们査看一下非持久连接情况下从服务器到客户传送一个Web页面的步骤。假设该贝面由1个基本HTML文件和10个PEG图像构成,而且所有这些对象都存放在同一台服务器主机三中。再假设该基本HTML文件的URLA:yesky/somepath/index.html口下面是具体步骡口1.HTTP客户初始化一个与服务器主机yesky中的HTTP服务器的TCP连接。HTTP服务器使用默认端口号80监听来自HTTP客户的连接建立请求。非持久连接和持久连接口2.HTTP客户经由与TCP连接相关联的本地套接字发出一个HTTP请求消息、。这个消息中包含路径名/sonepat/index.html口3.HTP服务器经由与TCP连接相关联的本地套接字接收这个请三求消息,再从服务器主机的内存或硬盘中取出对象sonepat/index.html,经由同一个套接字发出包含该对象的响应消息。一口4.HTTP服务器告知TCP关闭这个TCP连接(不过TCP要到客户收到刚才这个响应消息之后才会真正终止这个连接)口5.HTTP客户经由同一个套接字接收这个响应消息。TCP连接随后终止。该消息标明所封装的对象是一个HTML文件。客户从中取出这个文件,加以分析后发现其中有10个]PEG对象的引用口6给每一个引用到的]PEG对象重复步骡1-441、学问是异常珍贵的东西，从任何源泉吸收都不可耻。——阿卜·日·法拉兹

42、只有